Sujet Précédent Sujet Suivant

Cheval de troie BHO-KD au secours !!!

totophe -  
cgui33 Messages postés 1176 Statut Membre -
Bonjour,

Mon PC est devenu un nid à bactéries et virus en tout genre...
Après plusieurs test antivirus avec divers logiciels j'ai pu en supprimé quelque uns + des trojans (AGENT-4ZS.....) mais il y en a encore un qui résiste meme à AVAST: il se nomme BHO-KD. Imposssible de le supprimer. J'ai vu dans diverses discusiion que l'antidote est personalisé !!!
Alors pour gagner un peu de temps j'ai déja télécharger HIJACK et fait le scan.
Mais là j'ai besoin d'aide, merci d'avance et voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:52, on 19/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: (no name) - {2AA58B88-0916-44AD-B9C3-D78AAFBD916C} - C:\WINDOWS\System32\avtap.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [WinProfile] iexpIore.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: autorun.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110637975234
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

16 réponses

Réponse 1 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Salut

Avec HijackThis :
Do a system scan only
Coche ces lignes :

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O4 - HKLM\..\Run: [WinProfile] iexpIore.exe
O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Arrête toutes les autres applications en cours et :
Fix checked
Toujours dans Hijack
BP Config
Onglet Misc Tools
BP Delete a file on rebott
Sélectionne C:\WINDOWS\System32\ntos.exe
Valide et répond oui pour redémarrer

Reposte un log après ... ce n'est pas fini !
A+
0
Réponse 2 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Re

Tu as 2 antivirus installés ... risque de conflit !
Désinstalle eTrust par exemple.
Ensuite peux tu mettre à jour Windows et IE ?

A+
0
Réponse 3 / 16
totophe
 
Tout d'abord merci pour votre aide et j'espère que l'on pouvoir en venir à bout....
Voici le dernier log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:05, on 19/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: (no name) - {2AA58B88-0916-44AD-B9C3-D78AAFBD916C} - C:\WINDOWS\System32\avtap.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: autorun.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110637975234
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
0
Réponse 4 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Re
On continue
Télécharge combofix sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT
désactive ton antivirus, durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Re
Après avoir posté le rapport Combofix fais ceci
SDFix
Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
A+
0
Réponse 6 / 16
totophe
 
Voici le rapport de Combofix:

ComboFix 08-01-18.5 - Christophe 2008-01-19 19:25:54.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.213 [GMT 1:00]
Running from: C:\Documents and Settings\Christophe\Bureau\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Documents and Settings\Christophe\Menu Démarrer\Programmes\Démarrage\system.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\users32.dat
C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\Temp\1966536071.exe
C:\WINDOWS\Temp\2167100853.exe
C:\WINDOWS\Temp\3032676727.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-19 to 2008-01-19 ))))))))))))))))))))))))))))))))))))
.

2008-01-19 19:24 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-19 18:04 . 2008-01-19 18:04 <REP> d-------- C:\Program Files\Trend Micro
2008-01-19 18:03 . 2008-01-19 18:03 812,344 --a------ C:\HJTInstall.exe
2008-01-18 22:43 . 2008-01-18 22:43 <REP> d-------- C:\Program Files\Alwil Software
2008-01-18 22:43 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-18 22:43 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-18 22:43 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-18 22:43 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-18 22:43 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-18 22:43 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-18 22:43 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-18 22:43 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-18 22:38 . 2008-01-18 22:38 19,004,560 --a------ C:\setupfre.exe
2008-01-18 13:13 . 2008-01-19 17:11 16,384 --a------ C:\WINDOWS\system32\nod32se.exe
2007-12-30 19:06 . 2007-12-30 19:06 7,467,056 --a------ C:\Program Files\spybotsd15.exe
2007-12-30 18:06 . 2007-12-30 18:10 <REP> d-------- C:\WINDOWS\avxoscan
2007-12-30 12:33 . 19,456 C:\WINDOWS\system32\drivers\cbypplkg.dat
2007-12-30 12:29 . 2003-04-24 13:00 84,992 --a------ C:\WINDOWS\system32\avtap.dll
2007-12-29 21:31 . 2007-12-29 21:31 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\vlc
2007-12-29 20:55 . 2007-12-29 20:55 <REP> d-------- C:\Program Files\VideoLAN

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 18:24 --------- d-----w C:\Program Files\Wanadoo
2007-12-30 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-29 20:26 --------- d--h--w C:\Program Files\classement_temporaire
2007-12-17 09:55 --------- d-----w C:\Program Files\Fichiers communs\Talkway
2007-12-17 08:41 406,016 ----a-w C:\WINDOWS\system32\psdrvcheck.exe
2007-12-17 08:41 323,584 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-17 08:41 155,648 ----a-w C:\WINDOWS\system32\nerocheck.exe
2007-12-09 13:08 --------- d-----w C:\Program Files\Google
2007-12-09 13:07 13,413,048 ----a-w C:\Google_Earth_BZXD.exe
2007-09-21 18:09 12,814,336 ----a-w C:\Program Files\windows-media-player_windows_media_player_francais_12911.exe
2007-09-14 21:48 18,164,640 ----a-w C:\Program Files\aaw2007.exe
2005-03-31 21:17 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
2004-03-15 18:07 4,170,752 ----a-w C:\Program Files\DivX511.exe
2004-02-04 21:53 23,792 ----a-w C:\Documents and Settings\Christophe\Application Data\GDIPFONTCACHEV1.DAT
.
[color=red]Files Infected - Win32.Agent.zb[/color]
C:\PROGRA~1\Wanadoo\GestMaj.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\WINDOWS\System32\PSDrvCheck.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Wanadoo\Shell.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2AA58B88-0916-44AD-B9C3-D78AAFBD916C}]
2003-04-24 13:00 84992 --a------ C:\WINDOWS\System32\avtap.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"="" []
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-10 22:37 68856]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2008-01-10 22:37 122880]
"WinAVX"="C:\WINDOWS\System32\WinAvXX.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 14:19 4841472]
"nwiz"="nwiz.exe" [2007-12-17 09:41 323584 C:\WINDOWS\system32\nwiz.exe]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2007-12-17 09:41 32768]
"EPSON Stylus C82 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2007-12-17 09:41 74752]
"vmtalk"="C:\Program Files\Fichiers communs\Talkway\vmtalk.exe" [2007-12-17 09:41 61440]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2007-12-17 09:41 406016]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2007-12-17 09:41 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2007-12-17 09:41 155648]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2007-12-17 09:41 504080]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"WinAVX"="C:\WINDOWS\System32\WinAvXX.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WinProfile"="iexpIore.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 13:00 13312]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-10 18:33:13]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)
"DisableTaskMgr"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)
"DisableTaskMgr"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoControlPanel"= 1 (0x1)
"NoWindowsUpdate"= 1 (0x1)

R0 pbmxsgsl;pbmxsgsl;C:\WINDOWS\System32\drivers\cbypplkg.dat []
R0 ppa;Pilote de filtre de port parallèle Iomega;C:\WINDOWS\System32\DRIVERS\ppa.sys [2001-08-17 20:53]
R3 BENDER;Pinnacle DV/AV Capture;C:\WINDOWS\System32\drivers\bender.sys [2005-08-18 10:43]
S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\System32\DRIVERS\LV551AV.sys [2002-06-10 07:24]

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 19:35:09
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ?:?w???????????????????s????????D??????sd???D???????d???O;?w0???3;?wt?@?l?@???e?.??w????????????????????????????????????????p??????? 9?wh??w????3;?wy=?w???????s?????>?w????l?@??????e?w????t?@??od?????????l?@?l?@??????C?w????t?@?????l?@?8?@?l?@????s???????????

scanning hidden files ...

C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600 56320 bytes executable
C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj 203264 bytes executable
C:\WINDOWS\system32\ntos.exe 422400 bytes executable
C:\WINDOWS\system32\wsnpoem

scan completed successfully
hidden files: 4

**************************************************************************
.
Completion time: 2008-01-19 19:36:25
ComboFix-quarantined-files.txt 2008-01-19 18:36:02
.
2007-07-24 20:02:54 --- E O F ---
0
Réponse 7 / 16
totophe
 
Au fit j'ai aussi un message qui est apparu pendant l'operation combofix:

LA MODIFICATION DU REGISTRE A ETE DESACTIVE PAR VOTRE ADMINISTRATEUR.

????????
0
Réponse 8 / 16
totophe
 
Voici enfin le rapport SDFIX:

SDFix: Version 1.129

Run by Christophe on 19/01/2008 at 20:07

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\CHRIST~1\Bureau\SDFIX\SDFix

Safe Mode:
Checking Services:

Name:
pbmxsgsl

Path:
system32\drivers\cbypplkg.dat

pbmxsgsl - Deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Service pbmxsgsl - Deleted after Reboot

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\drivers\cbypplkg.dat - Deleted
C:\WINDOWS\SYSTEM32\AVTAP.DLL - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll.cla - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted

Folder C:\WINDOWS\system32\wsnpoem - Removed

The below files have been patched by Trojan.Agent.zb to load users32.dat and should be replaced:

C:\PROGRA~1\Wanadoo\GestMaj.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\WINDOWS\System32\PSDrvCheck.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Wanadoo\Shell.exe

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 20:25:42
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600 56320 bytes executable
C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj 203264 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\Explorer.exe"="C:\\WINDOWS\\Explorer.EXE:*:Enabled:Explorer"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\CHRIST~1\Bureau\SDFIX\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 17 Jul 2004 157,184 A..H. --- "C:\Program Files\Wanadoo\Christophe\~WRL1976.tmp"
Thu 19 Aug 2004 11,426,816 ...H. --- "C:\RECYCLER\S-1-5-21-1275210071-854245398-725345543-1004\Dc1\~WRL2046.tmp"
Wed 18 Feb 1998 60,928 ...H. --- "C:\Program Files\materiaux\ENSMM\æ3\Option M‚ca\99\Tp de FAO\Tp3\Copie\~WRL0003.tmp"
Wed 18 Feb 1998 60,928 A..H. --- "C:\Program Files\tp\ENSMM\æ3\Option M‚ca\99\Tp de FAO\Tp3\Copie\~WRL0003.tmp"

Finished!
0
Réponse 9 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
RE
Peux tu m'envoyer le rapport SdFix
Merci
Concernant :
LA MODIFICATION DU REGISTRE A ETE DESACTIVE PAR VOTRE ADMINISTRATEUR.

Sélectionne toutes les lignes ci-dessous

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

Ouvre le bloc notes et copie les dedans
Sauve le fichier sous : C:\GDT.KEY
Ensuite :
Démarrer --> Exécuter
Tape : GDT.KEY

Lorsque tu auras tout fait Relance Hijack pour un nouveau rapport.
A+
0
Réponse 10 / 16
totophe
 
J'ai fait l'operation GDT.KEY et relancer HIJACK, voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:33, on 19/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110637975234
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
0
Réponse 11 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Re

Bon c'est un peu mieux ... non ?
Avec HijackThis :
Do a system scan only
Coche ces lignes :

O4 - HKLM\..\RunServices: [WinProfile] iexpIore.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

Arrête toutes les autres applications en cours et :
Fix checked
Redémarre
Ensuite peux tu refaire un log combofix ... merci
A+
0
Réponse 12 / 16
totophe
 
Voici le combofix:
ComboFix 08-01-18.5 - Christophe 2008-01-19 21:40:55.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.235 [GMT 1:00]
Running from: C:\Documents and Settings\Christophe\Bureau\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-19 to 2008-01-19 ))))))))))))))))))))))))))))))))))))
.

2008-01-19 21:04 . 2008-01-19 21:04 381 --a------ C:\GDT.KEY
2008-01-19 20:05 . 2008-01-19 20:05 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-19 19:24 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-19 18:04 . 2008-01-19 18:04 <REP> d-------- C:\Program Files\Trend Micro
2008-01-19 18:03 . 2008-01-19 18:03 812,344 --a------ C:\HJTInstall.exe
2008-01-18 22:43 . 2008-01-18 22:43 <REP> d-------- C:\Program Files\Alwil Software
2008-01-18 22:43 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-18 22:43 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-18 22:43 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-18 22:43 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-18 22:43 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-18 22:43 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-18 22:43 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-18 22:43 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-18 22:38 . 2008-01-18 22:38 19,004,560 --a------ C:\setupfre.exe
2008-01-18 13:13 . 2008-01-19 17:11 16,384 --a------ C:\WINDOWS\system32\nod32se.exe
2007-12-30 19:06 . 2007-12-30 19:06 7,467,056 --a------ C:\Program Files\spybotsd15.exe
2007-12-30 18:06 . 2007-12-30 18:10 <REP> d-------- C:\WINDOWS\avxoscan
2007-12-29 21:31 . 2007-12-29 21:31 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\vlc
2007-12-29 20:55 . 2007-12-29 20:55 <REP> d-------- C:\Program Files\VideoLAN

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-19 20:40 --------- d-----w C:\Program Files\Wanadoo
2007-12-30 19:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-29 20:26 --------- d--h--w C:\Program Files\classement_temporaire
2007-12-17 09:55 --------- d-----w C:\Program Files\Fichiers communs\Talkway
2007-12-17 08:41 406,016 ----a-w C:\WINDOWS\system32\psdrvcheck.exe
2007-12-17 08:41 323,584 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-17 08:41 155,648 ----a-w C:\WINDOWS\system32\nerocheck.exe
2007-12-09 13:08 --------- d-----w C:\Program Files\Google
2007-12-09 13:07 13,413,048 ----a-w C:\Google_Earth_BZXD.exe
2007-09-21 18:09 12,814,336 ----a-w C:\Program Files\windows-media-player_windows_media_player_francais_12911.exe
2007-09-14 21:48 18,164,640 ----a-w C:\Program Files\aaw2007.exe
2005-03-31 21:17 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
2004-03-15 18:07 4,170,752 ----a-w C:\Program Files\DivX511.exe
2004-02-04 21:53 23,792 ----a-w C:\Documents and Settings\Christophe\Application Data\GDIPFONTCACHEV1.DAT
.
[color=red]Files Infected - Win32.Agent.zb[/color]
C:\PROGRA~1\Wanadoo\GestMaj.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\WINDOWS\System32\PSDrvCheck.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Wanadoo\Shell.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-19_19.35.31,00 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-19 06:25:21 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-01-19 19:05:27 3,989,504 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-01-19 19:05:27 90,112 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-01-19 06:25:21 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-01-19 19:05:16 3,989,504 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-01-19 19:05:16 90,112 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-01-19 18:13:46 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-01-19 18:56:46 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-19 18:13:46 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-01-19 18:56:46 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2007-10-28 08:35:08 40,748 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-19 19:26:11 40,748 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-10-28 08:35:08 49,476 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-01-19 19:26:11 49,476 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-10-28 08:35:08 312,360 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-19 19:26:11 312,360 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-10-28 08:35:08 368,696 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-01-19 19:26:11 368,696 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-01-19 20:39:55 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_530.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"="" []
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-10 22:37 68856]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2008-01-10 22:37 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 14:19 4841472]
"nwiz"="nwiz.exe" [2007-12-17 09:41 323584 C:\WINDOWS\system32\nwiz.exe]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2007-12-17 09:41 32768]
"EPSON Stylus C82 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2007-12-17 09:41 74752]
"vmtalk"="C:\Program Files\Fichiers communs\Talkway\vmtalk.exe" [2007-12-17 09:41 61440]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2007-12-17 09:41 406016]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2007-12-17 09:41 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2007-12-17 09:41 155648]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2007-12-17 09:41 504080]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 13:00 13312]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-10 18:33:13]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

R0 ppa;Pilote de filtre de port parallèle Iomega;C:\WINDOWS\System32\DRIVERS\ppa.sys [2001-08-17 20:53]
R3 BENDER;Pinnacle DV/AV Capture;C:\WINDOWS\System32\drivers\bender.sys [2005-08-18 10:43]
S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\System32\DRIVERS\LV551AV.sys [2002-06-10 07:24]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-19 21:45:54
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ?:?w???????????????????s????????D??????sd???D???????d???O;?w0???3;?wt?@?l?@???e?.??w????????????????????????????????????????p??????? 9?wh??w????3;?wy=?w???????s?????>?w????l?@??????e?w????t?@??od?????????l?@?l?@??????C?w????t?@?????l?@?8?@?l?@????s???????????

scanning hidden files ...

C:\WINDOWS\system32\comctl32.dll:_rc_db_5.1.2600 56320 bytes executable
C:\WINDOWS\system32\comctl32.dll:_rc_db_sec_obj 203264 bytes executable

scan completed successfully
hidden files: 2

**************************************************************************
.
Completion time: 2008-01-19 21:46:56
ComboFix-quarantined-files.txt 2008-01-19 20:46:30
ComboFix2.txt 2008-01-19 20:36:24
ComboFix3.txt 2008-01-19 18:36:26
.
2007-07-24 20:02:54 --- E O F ---
0
Réponse 13 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Re
Concernant le fichier aaw2007 (mise à jour Ad-Aware)
Voir ici :
https://forum.zebulon.fr/index.php?act=Print&client=printer&f=52&t=127725
Ce n'est pas forcément un problème ...

Concernant
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ?:?w???????????????????s????????D??????sd???D???????d???O;?w0???3;?wt?@?l?@???e?.??w?????? ??????????????????????????????????p??????? 9?wh??w????3;?wy=?w???????s?????>?w????l?@??????e?w????t?@??od?????????l?@?l?@??????C?w ????t?@?????l?@?8?@?l?@????s???????????

Attention : Ne pas faire n'importe quoi dans la base de registre !
démarrer --> Exécuter
Taper : REGEDIT

Rechercher jusqu'à :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run (partie gauche de l'application)
(HKCU = HKEY_CURRENT_USER)
Sur la partie droite sélectionner : PowerBar (clic gauche .. PowerBar en surbrilance)
clic droit : Supprimer
Fermer l'éditeur de base de registre.
Si tu as des doutes sur l'utilisation de regedit --> demande avant de te lancer !

Redémarre et reposte un log Hijack
C'est terminé ... normalement

A+
0
Réponse 14 / 16
totophe
 
Cela fait du bien de pouvoir redevenir administrateur de son propre PC.
Par contre j'ai l'impression qu'avast me pose des pb de connexion Internet. Je suis obligé de désactiver la protection résidente pour pouvoir surfer, sinon il n'avance pas avec IExplorer.
Aurais tu un firewall ainsi qu'un antivirus et un antispireware à me conseiller (j'ai entendu dire que des logiciel gratuis savent faire aussi bien que kes payants: croyance ou réalitée?).
0
Réponse 15 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Re
Come je te l'ai dit plus haut : tu as 2 antivirus installés
Il faut absolument en désinstaller 1 (risque de conflit)

Concernant les antivirus gratuits : AVAST(français) ou ANTIVIR (Anglais)
Voir : http://forum.malekal.com/ftopic3528.php

Ensuite comme firewall (je suppose que tu as celui de windows... pas terrible )
Fais un test avec KERIO (il parait que c'est pas mal !)
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html

Ensuite désinstalle tous les logiciels que j'aurai pu te demander d'installer.
Supprime C:\GDT.KEY

Ensuite : mise à jour XP et IE

Bon surf
A+
0
totophe
 
Merci pout tout cgui33 car sans toi je pense que je passais par un formatage du système.
Je ne connaissai pas ce site avant ce soir, mais j'en suis absolument ravi, par la qualité et le devouement des différents intervenants dont tu fais partis.

Bonne soirée à toi et encore merci.
0
Réponse 16 / 16
cgui33 Messages postés 1176 Statut Membre 10
 
Re
Content pour toi
Tu peux mettre l'état du post sur résolu
Bon WE
0

Discussions similaires

Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
Everest Poker Cheval de Troie
chipie-68 -
fabul -

5 réponses
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses